Dieser Leitfaden richtet sich an Organisationen und Unternehmen, die die Aktualisierungen der Norm ISO 27001 erfolgreich umsetzen möchten. Ziel ist es, den Leser bei den notwendigen Veränderungsprozessen und der erfolgreichen Neu-Zertifizierung nach DIN ISO/IEC 27001:2013 seines Informationssicherheits-Managementsystems zu unterstützen.
Der Autor Stefan Beck ist seit über 10 Jahren als Experte für Informationssicherheit und Datenschutz tätig und berät Organisationen bei der Implementierung und Weiterentwicklung von Informationssicherheits-Managementsystemen (ISMS). Seine Erfahrungen gibt er in diesem Buch weiter.
Zunächst führt er dabei in die Entstehung der ISO/IEC-Norm ein, erläutert die wichtigsten Änderungen des Standards zum Vorgänger ISO 27001:2005 und gibt konkrete Vorschläge an die Hand, wie die neuen Anforderungen in einer Organisation umgesetzt werden können. Der Autor zeigt auf, wo die Prioritäten bei der Umsetzung der neuen Norm liegen und mit welchen Auswirkungen bei integrierten Managementsystemen (IMS) zu rechnen ist. Um den Aufwand für das Implementieren der Veränderungen praxisnah zu ermitteln, hat er weitere Experten befragt und die Ergebnisse zusammengetragen. Dieses Buch eignet sich daher hervorragend als Handlungsempfehlung zur Umstellung auf die internationale Zertifizierungsnorm ISO/IEC 27001:2013 und deren deutsche Übertragung ISO/IEC 27001:2015.
Inhaltsverzeichnis
- Motivation
- Zielsetzung der Masterarbeit
- Internationale Normung
- International Organization for Standardization (ISO)
- International Electrotechnical Commission (IEC)
- Die Entstehung einer neuen ISO/IEC-Norm
- Vorstadium
- Vorschlagsphase
- Erstellungsphase
- Komiteephase
- Prüfungsphase
- Zustimmungsphase
- Veröffentlichungsphase
- Änderungen an ISO-Dokumenten
- Zertifizierung
- Managementsysteme
- Integriertes Managementsystem
- Informationssicherheits-Managementsystem (ISMS)
- Überblick über die ISO/IEC 27000-Reihe
- Die ISO/IEC 27001
- Entwicklungsschritte der ISO/IEC 27001
- Die ISO/IEC 27001:2013
- Gründe für die Aktualisierung
- Geänderte ISO/IEC Direktiven
- Änderungen an der ISO/IEC 27001:2013 gegenüber der ISO/IEC 27001:2005
- Feststellung von Änderungen
- Änderungen in der Anwendung der Norm
- Änderungen in Kapitel 4
- Änderungen in Kapitel 5
- Änderungen in Kapitel 6
- Änderungen in Kapitel 7
- Änderungen in Kapitel 8
- Änderungen in Kapitel 9
- Änderungen in Kapitel 10
- Änderungen an den Dokumentationsanforderungen
- In der Version ISO/IEC 27001:2013 nicht mehr enthaltene Anforderungen
- Änderungen am Erscheinungsbild
- Wesentliche Änderungen im Anhang A
- Auswirkungen der Änderungen auf die Zertifizierung
- Auswirkungen der Änderungen auf Zertifizierungsstellen
- Expertenbefragung
- Entwicklung des Fragenkatalogs
- Fragenkatalog
- Pretest
- Theoretische Grundlagen zur Auswertung
- Ergebnisse der Expertenbefragung
- Auswertung und wesentliche Erkenntnisse
- Handlungsleitfaden für Anpassungen aufgrund der Aktualisierung der ISO/IEC 27001
- Wesentliche Aktivitäten zu Kapitel 4
- Wesentliche Aktivitäten zu Kapitel 5
- Wesentliche Aktivitäten zu Kapitel 6
- Wesentliche Aktivitäten zu Kapitel 7
- Wesentliche Aktivitäten zu Kapitel 8
- Wesentliche Aktivitäten zu Kapitel 9
- Wesentliche Aktivitäten zu Kapitel 10
- Potenzieller Änderungsbedarf an der Dokumentation
- Potenzieller Änderungsbedarf aufgrund der Änderungen im Anhang A
- Einschätzung der Änderungen
- Voraussetzungen, Vorbereitung, Planung
- Mögliche Strategien für die Anpassung eines ISMS
- Möglicher Projektablaufplan zur Anpassung eines ISMS
- Zusammenfassung
Zielsetzung und Themenschwerpunkte
Die Masterarbeit befasst sich mit der Aktualisierung der ISO/IEC 27001 und analysiert die Änderungen gegenüber der Vorgängerversion. Das Ziel der Arbeit ist es, den Änderungsbedarf aufzuzeigen und Handlungsempfehlungen für die Anpassung von Informationssicherheits-Managementsystemen (ISMS) an die neue Norm zu entwickeln.
- Analyse der Änderungen an der ISO/IEC 27001:2013 gegenüber der ISO/IEC 27001:2005
- Bewertung der Auswirkungen der Änderungen auf die Praxis
- Entwicklung eines Handlungsleitfadens für die Anpassung von ISMS
- Expertenbefragung zur Einschätzung des Änderungsbedarfs
- Bedeutung der Norm für die Informationssicherheit
Zusammenfassung der Kapitel
Die Arbeit beginnt mit einer Einleitung, die die Motivation und die Zielsetzung der Arbeit erläutert. Anschließend werden die Grundlagen der internationalen Normung im Kontext der ISO/IEC 27001 vorgestellt. In diesem Zusammenhang werden die Entstehungsprozesse von ISO/IEC-Normen sowie die gängigen Verfahren zur Aktualisierung von Normen beschrieben. Das vierte Kapitel widmet sich dem Thema Managementsysteme und beleuchtet insbesondere das Informationssicherheits-Managementsystem (ISMS). Die Arbeit beleuchtet die Entwicklung der ISO/IEC 27001 und die Gründe für die Aktualisierung der Norm. Im sechsten Kapitel werden die wesentlichen Änderungen der ISO/IEC 27001:2013 gegenüber der ISO/IEC 27001:2005 im Detail analysiert. Die Arbeit beschreibt die Ergebnisse einer durchgeführten Expertenbefragung zum Thema Aktualisierung der ISO/IEC 27001 und leitet daraus einen Handlungsleitfaden für die Anpassung von ISMS an die neue Norm ab. Die Arbeit endet mit einer Zusammenfassung der wichtigsten Erkenntnisse und Schlussfolgerungen.
Schlüsselwörter
ISO/IEC 27001, Informationssicherheits-Managementsystem (ISMS), Aktualisierung, Änderungsbedarf, Handlungsempfehlungen, Expertenbefragung, Zertifizierung.
Häufig gestellte Fragen
Was ist das Ziel der Normaktualisierung von ISO/IEC 27001:2013?
Ziel ist es, den Standard an moderne Anforderungen anzupassen und Unternehmen dabei zu unterstützen, ihr Informationssicherheits-Managementsystem (ISMS) auf den neuesten Stand zu bringen.
Was sind die wichtigsten Änderungen gegenüber der Version 2005?
Die Änderungen umfassen eine neue Struktur (High Level Structure), geänderte Anforderungen in den Kapiteln 4 bis 10 sowie wesentliche Anpassungen im Anhang A (Maßnahmenkatalog).
Welche Auswirkungen hat die Aktualisierung auf bestehende Zertifizierungen?
Unternehmen müssen ihre Dokumentation anpassen und neue Anforderungen umsetzen, um eine erfolgreiche Neu-Zertifizierung nach dem Standard 2013 (bzw. der deutschen Fassung 2015) zu erhalten.
Bietet die Arbeit praktische Hilfsmittel für die Umstellung?
Ja, die Arbeit enthält einen Handlungsleitfaden, einen potenziellen Projektablaufplan sowie Ergebnisse einer Expertenbefragung zur Einschätzung des Aufwands.
Wer ist der Autor dieses Leitfadens?
Der Autor ist Stefan Beck, ein Experte mit über 10 Jahren Erfahrung im Bereich Informationssicherheit und Datenschutz.
Was versteht man unter einem Integrierten Managementsystem (IMS)?
Ein IMS fasst verschiedene Managementsysteme (z.B. für Qualität, Umwelt und Informationssicherheit) zusammen, um Synergien zu nutzen und den Verwaltungsaufwand zu minimieren.
- Citar trabajo
- Stefan Beck (Autor), 2015, Zertifizierung nach ISO/IEC 27001:2013. Änderungsbedarf und Handlungsempfehlungen für Unternehmen aufgrund der Norm-Aktualisierung, Múnich, GRIN Verlag, https://www.grin.com/document/295945
